如何限制外部B2B用户运行SAP PO A2A内部接口?

2020-08-24 18:04发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)尊敬的SAP专家 在我们的SA...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的SAP专家

在我们的SAP PO(7.5)中,需要一些新的B2B集成。 该方案将是同步调用外部WS(SOAP)-> SAP PO-> SAP

我们正在评估与合作伙伴建立一个site2site VPN,以便在通过身份验证后,他们可以通过常规SOAP调用来调用我们的SAP PO。

但是,我们担心这可能是一个安全问题,因为一旦进行身份验证,他们就可以仅使用接口URL来调用任何其他SAP PO soap接口。 我知道我们可以在业务系统中使用"分配的用户"来限制该接口仅由特定的服务ID使用(在ICo的接口级别上也可以这样做)。 但这对安全漏洞没有帮助,因为其他接口在其"分配的用户"选项卡中没有任何限制,因此,一旦通过VPN进行身份验证,ID仍可以运行其他A2A接口。

唯一的选择是将所有可能的用户ID添加到所有其他接口,这样就不允许该特定ID运行任何其他接口-由于现有接口数量众多,因此我们不可接受。 SAP在OSS中确认这是使用"分配的用户"功能的唯一方法。

我们是否可以增强ACL(访问控制列表,即存储分配的用户的组件),使其不仅可以用作白名单,还可以主要用作黑名单?

有人对如何克服这个(恕我直言,非常基本的)安全问题有任何建议吗?

我已经阅读了这些帮助内容/SAP注释,这些注释仅证实了我刚才所说的内容:

-https://help.sap.com/viewer/d0a0a7cb51dc40529bfcac724dd05796/7.5.10/en-US/48cea362e206035be10000000a42189b.html

-852237-XI运行时的扩展授权概念

谢谢!

4条回答
xfwsx85
2020-08-24 18:41

对于您的问题,可能的解决方法是在DMZ中安装非中央高级适配器引擎(非中央AAE)。

他们的B2B接口将在外部适配器中运行通信通道,该适配器位于DMZ中,从而将其B2B伙伴与其他接口隔离开。

一周热门 更多>